Azure Active Directory B2C ID ソリューションをセキュリティで保護する方法

この記事では、Azure Active Directory B2C (Azure AD B2C) ソリューションをセキュリティで保護するためのベスト プラクティスについて説明します。 Azure AD B2C を使用して ID ソリューションを構築するには、保護と監視を検討する必要がある多くのコンポーネントが含まれます。

ソリューションに応じて、次のコンポーネントのうち 1 つ以上がスコープ内にあります。

• Azure AD B2C 認証エンドポイント
• Azure AD B2C ユーザー フローまたはカスタム ポリシー
  • サインイン
  • サインアップ
• 電子メール ワンタイム パスワード (OTP)
• 多要素認証コントロール
• 外部 REST API

ユーザーが中断することなくアプリケーションにサインインできるように、これらすべてのコンポーネントを保護および監視する必要があります。 この記事のガイダンスに従って、ボット攻撃、不正なアカウント作成、国際収益分配詐欺 (ISRF)、パスワード スプレーからソリューションを保護します。

ソリューションをセキュリティで保護する方法

ID ソリューションでは、複数のコンポーネントを使用して、スムーズなサインイン エクスペリエンスを提供します。 次の表は、各コンポーネントに推奨される保護メカニズムを示しています。

コンポーネント	エンドポイント	なぜでしょうか	保護する方法
Azure AD B2C 認証エンドポイント	/authorize、 /token、 /.well-known/openid-configuration、 /discovery/v2.0/keys	リソースの枯渇を防ぐ	Web アプリケーション ファイアウォール (WAF) と Azure Front Door (AFD)
サインイン	NAの	悪意のあるサインインは、アカウントをブルート フォースしたり、漏洩した資格情報を使用したりしようとする可能性があります	個人情報保護
サインアップ	NAの	不正なサインアップは、リソースを使い果たそうとする可能性があります。	エンドポイント保護 Dynamics Fraud Protection などの不正行為防止テクノロジ
電子メールの OTP	NAの	リソースに対するブルート フォース攻撃または枯渇の不正な試行	エンドポイント保護 と Authenticator アプリ
多要素認証コントロール	NAの	要請されていない電話または SMS メッセージまたはリソースの枯渇。	エンドポイント保護 と Authenticator アプリ
外部 REST API	REST API エンドポイント	ユーザー フローまたはカスタム ポリシーを悪意のある方法で使用すると、API エンドポイントでリソースが枯渇する可能性があります。	WAF と AFD

保護メカニズム

次の表に、さまざまなコンポーネントを保護するために使用できるさまざまな保護メカニズムの概要を示します。

何	なぜでしょうか	どのように
Web アプリケーション ファイアウォール (WAF)	WAF は、Azure AD B2C エンドポイントに対して行われた悪意のある要求に対する防御の第 1 層として機能します。 DDoS、ボット、OWASP Top 10 などの一般的な悪用や脆弱性に対する一元的な保護が提供されます。 WAF を使用して、悪意のある要求が Azure AD B2C エンドポイントに到達する前でも停止されることを確認することをお勧めします。 WAF を有効にするには、最初に AFD を使用して Azure AD B2C でカスタム ドメインを有効にする必要があります。	Cloudflare WAF の構成 Akamai WAF の構成
Azure Front Door (AFD)	AFD は、Microsoft グローバル エッジ ネットワークを使用して、高速でセキュリティで保護され、広くスケーラブルな Web アプリケーションを作成する、グローバルでスケーラブルなエントリ ポイントです。 AFD の主な機能は次のとおりです。 セルフサービス形式でカスタム ドメインを追加または削除できます 合理化された証明書管理エクスペリエンス Azure Key Vault を使用して、独自の証明書を持ち込み、適切なローテーション エクスペリエンスで証明書の有効期限のアラートを受け取ることができます AFD によりプロビジョニングされた証明書は、有効期限の際に迅速なプロビジョニングと自動ローテーションを可能にします。	Azure Active Directory B2C のカスタム ドメインを有効にする
本人確認と証明/不正防止	ID の検証と証明は、信頼できるユーザー エクスペリエンスを作成し、アカウントの引き継ぎや不正なアカウントの作成から保護するために重要です。 また、ユーザーオブジェクトがビジネスシナリオに適合する形で実際のユーザーを反映することにより、テナントの衛生管理にも貢献します。 Azure AD B2C を使用すると、さまざまなソフトウェア ベンダー パートナーからの ID 検証と証明、および不正防止の統合が可能になります。	ID 検証および証明パートナーとの統合 Microsoft Dynamics 365 Fraud Protection の構成 Arkose Labs プラットフォームを使用して構成する 不正な MFA の使用を軽減する
身元保護	Identity Protection は、継続的なリスク検出を提供します。 サインイン中にリスクが検出された場合は、サインインを続行する前にユーザーがリスクを修復できるように Azure AD B2C 条件付きポリシーを構成できます。 管理者は、ID 保護レポートを使用して、危険にさらされている危険なユーザーを確認し、検出の詳細を確認することもできます。 リスク検出レポートには、各リスク検出に関する情報 (その種類やサインイン試行の場所など) が含まれます。 管理者は、ユーザーが侵害されたことを確認または拒否することもできます。	Identity Protection を使用してリスクを調査する
条件付きアクセス (CA)	ユーザーがサインインしようとすると、CA は ID 保護からのリスクなどのさまざまなシグナルを収集し、意思決定を行い、組織のポリシーを適用します。 CA は、管理者が組織のセキュリティ体制と一致するポリシーを開発するのに役立ちます。 ポリシーには、ユーザーアクセスを完全にブロックしたり、ユーザーが MFA などの別の認証を完了した後にアクセスを提供したりする機能を含めることができます。	条件付きアクセス ポリシーをユーザー フローに追加する
多要素認証	MFA は、サインアップとサインイン プロセスに 2 番目のセキュリティ レイヤーを追加し、Azure AD B2C でのユーザー認証のセキュリティ体制を改善するために不可欠なコンポーネントです。 Authenticator アプリ - TOTP は、Azure AD B2C で推奨される MFA 方法です。	多要素認証を有効にする
セキュリティ情報とイベント管理 (SIEM)/セキュリティ オーケストレーション、自動化、応答 (SOAR)	サインインやサインアップなどの使用パターンを分析し、サイバー攻撃を示す異常な動作を検出するための信頼性の高い監視およびアラート システムが必要です。 これは、セキュリティの追加レイヤーを追加する重要な手順です。 また、時間の経過に伴ってしかキャプチャおよび構築できないパターンと傾向を理解することもできます。 アラートは、全体的なサインインの変化率、サインイン失敗の増加、サインアップの失敗、IRSF 攻撃などの電話ベースの不正行為などの要因の特定に役立ちます。 これらはすべて、即時の注意を必要とする継続的なサイバー攻撃の指標になる可能性があります。 Azure AD B2C では、レポートとアラートの生成だけでなく、高レベルのログ記録ときめ細かいログ記録の両方がサポートされています。 すべての運用テナントに監視とアラートを実装することをお勧めします。	Azure Monitor を使用した監視 レポートとアラートを使用する 不正な MFA の使用を監視する Application Insights を使用して Azure AD B2C ログを収集する Microsoft Sentinel を使用して Azure AD B2C データのセキュリティ分析を構成する

REST API の保護

Azure AD B2C を使用すると、 API コネクタまたは REST API 技術プロファイルを使用して外部システムに接続できます。 これらのインターフェイスを保護する必要があります。 Azure AD B2C 認証エンドポイントを保護することで、REST API への悪意のある要求を防ぐことができます。 これらのエンドポイントは、WAF と AFD を使用して保護できます。

シナリオ 1: サインイン エクスペリエンスをセキュリティで保護する方法

サインイン エクスペリエンスまたはユーザー フローを作成したら、フローの特定のコンポーネントを悪意のあるアクティビティから保護する必要があります。 たとえば、サインイン フローに次のものが含まれている場合、保護する必要があるコンポーネントと関連する保護手法を次の表に示します。

• ローカル アカウントの電子メールとパスワード認証
• SMS または電話呼び出しを使用した Microsoft Entra 多要素認証

コンポーネント	エンドポイント	保護する方法
Azure AD B2C 認証エンドポイント	/authorize、 /token、 /.well-known/openid-configuration、 /discovery/v2.0/keys	WAP と AFD
サインイン	NAの	身元保護
多要素認証コントロール	NAの	Authenticator アプリ
外部 REST API	あなたのAPIエンドポイント。	Authenticator アプリ、WAF、AFD

シナリオ 2: サインアップ エクスペリエンスをセキュリティで保護する方法

サインアップ エクスペリエンスまたはユーザー フローを作成したら、フローの特定のコンポーネントを悪意のあるアクティビティから保護する必要があります。 サインイン フローに以下が含まれる場合は、保護する必要があるコンポーネントと関連する保護手法を次の表に示します。

• ローカル アカウントの電子メールとパスワードのサインアップ
• 電子メール OTP を使用した電子メールの検証
• SMS または電話呼び出しを使用した Microsoft Entra 多要素認証

コンポーネント	エンドポイント	保護する方法
Azure AD B2C 認証エンドポイント	/authorize、 /token、 /.well-known/openid-configuration、 /discovery/v2.0/keys	WAF と AFD
サインアップ	NAの	ダイナミクス不正防止
電子メールの OTP	NAの	WAF と AFD
多要素認証コントロール	NAの	Authenticator アプリ

このシナリオでは、WAF と AFD 保護メカニズムを使用して、Azure AD B2C 認証エンドポイントと電子メール OTP コンポーネントの両方を保護します。

次のステップ

• Azure AD B2C 認証エンドポイントを保護するように Web アプリケーション ファイアウォールを構成します。
• Dynamics で不正アクセス防止を構成 して、認証エクスペリエンスを保護します。
• Azure AD B2C の Identity Protection を使用してリスク を調査し、ID ベースのリスクを検出、調査、修復します。
• 電話ベースの多要素認証のセキュリティ保護によって、電話ベースの多要素認証を保護します。
• サインイン エクスペリエンスを保護するように Identity Protection を構成します。
• 任意の脅威に対して警告されるように監視とアラートを構成します。